ShellShock–новая угроза вашим сайтам и обновляем Bash. Владельцы VPS должны это сделать обязательно!

Обновление BASH

Привет, друзья IdeaFox!

А что никто не пишет про новую головную боль всех блогеров и вебмастеров? Неужели никто не в курсе?

Ладно, тогда я напишу : ) Короче, друзья, обязательно проверьте свои хостинги на предмет уязвимости, которая получила название ShellShock. Проблема очень серьезная, и на западных форумах раздаются отчаянные вопли тех, кто уже пострадал.

В первую очередь должны напрячься владельцы VPS-серверов. У меня их три штуки – сегодня всю ночь напрягался вместе с техподдержкой трех крупнейших хостинг-компаний : )

Что это такое?

Вчера прошла информация, что была найдена очень серьезная уязвимость в Linux-системах, которая позволяет в автоматическом режиме ломать любой сервер, где есть эта проблема.

Уязвимость найдена в BASH. Не буду долго писать что это такое, так как эта тема выходит далеко за рамки тематики блога: ), а скажу как проверить сайт (точнее, хостинг)

Те, кто владеют английским, настойчиво рекомендую прочитать вот эту статью:

http://www.wordfence.com/blog/2014/09/major-bash-vulnerability-disclosed-may-affect-a-large-number-of-websites-and-web-apps/

Или на русском:

http://tjournal.ru/paper/bash-bug

Как проверить?

Крупные хостинг-компании уже обновили свои кластеры для клиентов на виртуальном хостинге, но проверить не помешает.

Настойчиво рекомендую сделать эту процедуру всем, кто держит свои сайты на VPS-хостинге. Напомню, что администрирование VPS-серверов лежит полностью на их владельцах, и никто там ничего обновлять не будет. Или будут, но за деньги.

Предупреждение: Все, что я показываю ниже, Вы можете сделать на свой страх и риск. Если есть малейшие сомнения, то обращайтесь в техподдержку хостинга и терзайте их вопросами : )

Нужно зайти на свой хостинг через SSH, и ввести следующие специальные команды

Для управления сервером через консоль я всегда использую программу Putty. Она очень простая и позволяет работать с консолью.

Нужно лишь ввести IP-адрес вашего сервера, и нажать кнопку “Open”

Программа Putty

Затем зайти под root на сервер используя:

  1. логин: root
  2. password: пароль от вашего хостинга или VPS-сервера (спрашивайте у хостера эти данные)

работа в консоли

После удачной авторизации на сервере вводим две команды:

export badvar='() { :;}; echo vulnerable'
bash -c "echo I am an innocent sub process in '$BASH_VERSION'"

То есть, сначала вводим первую команду, нажимаем Enter, а затем вторую команду и снова нажимаем Enter : )

проверка уязвимости в консоли

И после этого внимательно смотрим на экран, подготовив граненный стакан  успокоительного : )

Если проблемы нет, то увидите ответ сервера, который выделил желтым цветом:

ответ сервера

В этом случае можно не переживать и спокойно графоманить дальше : )

Если проблема есть, то на третьей строке увидите зловещую надпись:

vulnerable
I am an innocent sub process in 4.3.22(1)-release

Скриншот показать не могу, так как уязвимость была найдена на другом VPS-сервере (у меня их три штуки)и мгновенно устранена. В спешке не успел снять скрин…

Но если увидите ответ vulnerable, обязательно решайте эту проблему.

Как закрыть эту дыру безопасности?

У Вас есть три пути:

1. Ничего не делать, и рано или поздно поимеете проблемы.

2. Обратиться к хостеру, чтобы он устранил эту печаль. Если Вы используете VPS-сервер, то придется раскошелиться на сумму от 500 до 1000 рублей за час работы. На виртуальных тарифах хостеры уже начали закрывать дыры, но все равно уточните в поддержке этот момент.

3. Решать проблему самому на свой страх и риск, предварительно сделав резервную копию всего сайта, и сохранив его на компьютере.

Я выбрал третий вариант : ) и стал разбираться, что к чему.

Отмечу, что у меня везде установлена Linux CentOS 6.5  в качестве операционной системы сервера и обновление происходит командой

yum update bash

На Ubuntu, Debian и.т.д команды консоли другие. Если есть блогеры, которые используют эти ОС, то поделитесь в комментах своим опытом.

Итак, заходим по SSH на сервер под управлением Linux CentOS и набираем команду:

yum update bash

обновляем bash

После нажатия на “Enter” на экране пробегутся зловещие строки, а Вы почувствуете себя хакером : ).

В самом конце будет предложено подтвердить обновление BASH нажав на клавишу с английской буквой “Y”. Как нажмете на нее, вы сразу почувствуете себя Кевином Митником : )

обновляем centos

Опять побегут строчки с непонятными командами, а в конце увидите надпись Complete. Если надпись появилась, то все “ОК”, и вы просто молодец : )

Какие могут быть проблемы?

Увы, но я столкнулся с проблемами на одном из VPS-серверов, где обновление никак не ставилось. Пришлось пойти на радикальные меры, и полностью переустанавливать VPS + делать настройки сервера с нуля.

Поэтому я еще раз настойчиво делать резервную копию блога и обращаться к спецам, которые этим живут. Или терзать хостера.

Кстати, пользуясь случаем, поблагодарю поддержку компании “МакХост”, которая оперативно помогла с некоторыми проблемами при обновлении сервера. Парни из саппорта просто молодцы + профи своего дела. Не подумайте, что это проплаченная рекомендация – ни в коем случае.

В который раз убедился, что главный критерий хорошего хостинга –  это быстрая и профессиональная поддержка, а не нищебродская цена за тариф : )

Короче, друзья, обязательно проверьте свои сайты на предмет этой уязвимости и обязательно устраните её. Владельцы VPS-серверов должны решить эту проблему незамедлительно!

Удачного обновления : )

Обновление:

Команды для Debian

Для Debian пропатчить можно легко и просто 2 командами:

 apt-get update
 apt-get install bash

или полное обновление системы

 apt-get upgrade

На новости блога нужно подписаться здесь: https://ideafox.ru/podpiska

Еще для блогеров:

  1. Простой лайфхак для улучшения поведенческих факторов на сайте
  2. Грамотный способ снизить посещаемость. Можете сами проверить на своих блогах : )
  3. Похоже, новый вид атаки на WordPress. Очень советую напрячься всем блогерам

Только для блогеров и вебмастеров:

Проверьте Вашу почту и подтвердите подписку на новости

Проверьте правильность заполнения еще раз!

Нажимая на кнопку "Подписаться", Вы даете согласие на рассылку, обработку своих персональных данных и соглашаетесь с политикой конфиденциальности.

33 комментария к “ShellShock–новая угроза вашим сайтам и обновляем Bash. Владельцы VPS должны это сделать обязательно!”

  1. Мне бы такую голову, как у тебя, Дим. Нифика не понял кроме одного — это важно.
    Кстати, ищу новый хостинг, куда перейду после окончания проплаты своего нынешнего хостинга в конце декабря. Если этот МакХост позволяет делать бэкапы в авторежиме и помогает таким олухам как я — кинь ссылку на статью с твоей рефералкой, пойду посмотрю, с чем едят этого зверя.

  2. Интересно, я, конечно, давно вышел из ряда блоггеров, но имею онлайн-магазин. А если у меня на хостинге вообще отключен SSH и FTP (а Putty работает через SSH), меня эта проблема касается? =)

    • Привет, Денис)
      Давно тебя не слышал и не видел.
      Ага, касается. Здесь не важно SSH, а важна уязвимость BASH

      • Мой хостинг-провайдер FastVPS, как правило, всегда все делает сам. Вчера ночью отключали сервер на 2 часа, как я понял, занимались как раз этой проблемой. У меня с ними всегда так. Они уже разобрались, а я только понял, что это была за проблема))

      • Я тоже давно с тобой хочу пообщаться. Тем более, я теперь тоже бизнесмен)) Только вот не вижу тебя в Skype никогда.

        • Тоже давно тебя не видел и не слышал.
          Ты хоть покажи свой интернет магазин, интересно.

  3. Ну вот ведь(( В пятницу, уже так сказать, под вечер такое вывалить.. Пошёл проверять. Спасибо.

    • Пож-та, удачного обновления
      И не забывайте про бэкапы)

    • Ты на виртуальном хостинге, как понял — можешь не переживать. хостер сам обновит.
      А вот впс-ники сейчас суетятся)

      • И я так понял)
        Кстати заглянул в спам, там половина твоих писем…

        • Хм. У меня по статистике вроде все нормально (Мандрилл дает такое инфо)
          Но оповещения о новых комментах улетат в спам — это знаю и решаю…

          • да-да, комменты именно.
            Ну тыж нам как решишь расскажешь)

  4. Дим, если не секрет на каком VPS были проблемы?

    • Проблемы на этом сайте были.
      Дело в том, что здесь стоял Linux CentOS 6.2
      Bash обновился без проблем, а вот обновление до 6,5 прошло криво. Куча ошибок и решил полностью снести все к чертовой матери и перенастроил ВПС сегодня ночью.
      Чтобы узнать версию CENTOS можно ввести в консоли команду
      cat /etc/redhat-release
      Если хочешь обновить все пакеты (например, подняться с версии 6,4 до 6,5), то
      yum update
      И на все вопросы отвечаешь клавишей в английской раскладке «Y»
      Естественно, команды в этом комменте только для CENTOS и сначала полный бэкап)

  5. Затестил. Твои команды не работают, поравь кавычки — там вместо одинарной какая-то запятая затесалась. Обновился, выполнил, вот что получил:
    I: $’\302\253echo’: команда не найдена
    Не работает. Раз обнова была в репозитории безопасности дебиана, значит баг все же был (я не сразу допер про эти кавычки).
    На дебианах и убунтах это делается так:
    apt-get update && apt-get upgrade && apt-get dist-upgrade && apt-get autoremove
    Но не надо так паниковать: чтобы этим воспользоватся еще нужно доступ к серваку получить, т.е. сначала взломать ssh. Чтобы этого не случилось, нужен fail2ban.

    P.S. Удали мой предыдущий коммент, случайно по кнопке жмакнул.

    • Соглашусь с Агентом. Серьезность данной уязвимости несколько преувеличена. Это не Heartbleed. Но приятного все равно мало. Особенно учитывая тот факт, что данный баг мог эксплуатироваться не один десяток лет =)
      А Дмитрий оперативно инструкцию сделал, уважуха!

      • Саш, привет
        Почитай главную Хабра сегодня еще больше испугаешься)

        • Ага, слежу за темой. Истерия в минувшие дни нарастала =) Масштаб конечно поражает.

          • Уровень опасности 10 из 10.
            Мне вот интересно, сколько еще закладок содержит GNU/GPL — софт? )
            Невольно про сервер на базе Windows задумался. Там хотя бы код закрытый

  6. Спасибо, Агент, оборвался твой коммент
    Видимо, вордпресс что-то свое вставляет
    Команды такие:
    export badvar='() { :;}; echo vulnerable'
    bash -c "echo I am an innocent sub process in '$BASH_VERSION'"

    Дебиан самыми первыми выпустили патч, как пишут на забогорных форумах

    • Вот теперь работает. Вот это получил:
      I am an innocent sub process in 4.2.37(1)-release
      Нет зловещей надписи)

  7. Дим, добавь в статью:
    Для Debian пропатчить можно легко и просто 2 командами:
    apt-get update
    apt-get install bash
    или полное обновление системы
    apt-get upgrade

  8. Нужно будет хостера «потрясти» — на счет этой темы… А то намедни «Макхост» меня «обрадовал» повышением тарифного плана со 109 рублей до 159. Более 40% — за 1 раз…Заявил в их суппорт: мол, дороговато. Они в ответ: рубль дешевеет — вот причина…А у меня, блин, рубль не дешевеет, да? Только у них… Ну, подняли бы процентов на 10, я бы понял, А так…В общем, буду рассматривать альтернативные варианты, хотя хостер, вроде бы, неплохо справляется со своими обязательствами…

    • Это да. Цену на виртуальный хостинг подняли.
      Правда, дисковый объем увеличили.

  9. На виртуальном хостинге, бояться нечего???

    • Да закрывают уже дыры для влалельцев вирт. хостинга.

  10. Скоко букав непонятных! я ж, блондинка! Руки уже опускаются…(((

Комментарии закрыты.